Введите верный e-mail адрес
Подписаться
Вы успешно подписались на нашу рассылку

Что изменит новый закон о защите персональных данных в Беларуси

Human Constanta
25 мая 2021 Года

Как обстоят дела сейчас

Система регулирования и защиты персональных данных в Беларуси не вполне развита и во многом отстает от международных стандартов. В Беларуси пока не было комплексного закона, регулирующего защиту персональных данных, а также уполномоченного органа, защищающего права граждан в связи с обработкой данных, в то время как в странах ЕС такие институты существуют с 80-х годов прошлого века.

Беларусь не присоединилась к Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS № 108 (Конвенция Совета Европы 108), которая представляет собой международно признанный стандарт в сфере защиты качества, использования и защиты персональных данных. В классификации стран с действующей системой защиты персональных данных, включая ЕС и страны Совета Европы, Беларусь не обеспечивает адекватный режим защиты персональных данных.

Если коротко о законодательстве, то в Беларуси сейчас есть подробное регулирование технической защиты данных, но ключевые вопросы вообще никак не прописаны. К таким вопросам относятся: понятия, принципы защиты персональных данных, участники правоотношений, их обязанности, права субъектов данных, основания обработки, контроль за исполнением.

Правоприменительную практику оценить сложно, поскольку отсутствует полноценный общественный контроль в сфере регулирования персональных данных. Государственный контроль по факту сводится к вопросам информационной безопасности, без фокуса на права субъектов данных и информирования о результатах работы. Практика защиты прав субъектов персональных данных, пострадавших от утечек данных и иных злоупотреблений, отсутствует, не считая политически-мотивированных дел о распространении данных силовиков и госслужащих.

Что предусматривает новый закон

Концепция закона о персональных данных появилась еще в 2016 году, в 2019 законопроект был принят в первом чтении и отложен в долгий ящик. И только сейчас был принят Закон от 7 мая 2021 г. № 99-З «О защите персональных данных».

В новом законе отражены наиболее важные элементы:

  • определения персональных данных и базовых понятий;
  • участники правоотношений, их права и обязанности;
  • базовые принципы защиты персональных данных;
  • согласие субъекта и другие основания для обработки персональных данных;
  • права субъектов данных и  обязанности операторов (контролеров) и уполномоченных лиц (процессоров);
  • орган, уполномоченный контролировать соблюдение законодательства о персональных данных;
  • механизм привлечения к ответственности за нарушение правил.

В целом положения закона сформулированы с учетом положений Конвенции Совета Европы 108, а также общепринятых подходов к определению персональных данных в законодательстве зарубежных государств. Терминология, используемая в законопроекте наиболее схожа с законодательством Российской Федерации. По сравнению с текстом законопроекта 2019 года принципиальных изменений нет, но некоторые положения сформулированы логичнее. Так, например, сбор, распространение и предоставление персональных данных все же отнесли к обработке.

Проект Закона предусматривает, что его действие будет распространяться на действия с персональными данными, осуществляемые с использованием средств автоматизации или без использования таких средств. В последнем случае закон будет применяться только, когда персональные данные систематизированы определенным образом и возможен быстрый поиск информации (например, картотека в алфавитном порядке, по определенным годам и т.д.).

Положения Закона будут распространяться как на государственные органы и организации, так и на частные компании и отдельных лиц. Следуя общепринятой мировой практике, из сферы действия Закона прямо исключаются личное, семейное, домашнее и иное подобное использование персональных данных, а также защита государственных секретов.

Предусмотрено, что большинство норм Закона вступят в силу спустя 6 месяцев после принятия (в ноябре 2021 года). Это не большой срок, GDPR давал 2 года, а первоначальный текст законопроекта – 1 год.

Новый закон для бизнеса

К тексту вопросов не так много, как ожидали эксперты. Основная проблема может ждать бизнес, медиа и гражданское общество на этапе формирования правоприменительной практики.

Для бизнеса неприятной новостью может стать отсутствие легитимного интереса как основания для обработки. В юрисдикции GDPR это основание используется достаточно широко, в наших реалиях бизнес может попробовать заменить это основание на псевдо-свободное согласие или договор между субъектом и оператором.

Исполнение закона потребует пересмотра многих бизнес-процессов, усиления технической и организационной безопасности, обучения персонала, больше инструкций и политик, большей прозрачности в обработке данных и информирования субъектов. Также всем без исключения операторам придется ввести новую штатную единицу (DPO), тот же GDPR этого требует только при определенных условиях. Больше подробностей и список задач для бизнеса появится не раньше начала работы Уполномоченного органа по защите прав субъектов персональных данных, а он пока еще даже не создан. Это значит, что сроки подготовки к исполнению требований закона будут максимально короткими.

Вместе с тем, бизнес все же получит понятную правовую рамку для деятельности, которая к тому же не будет принципиально отличаться от требований регуляторов в соседних странах и на основных международных рынках.

Новый закон для медиа

Главный вопрос, который задают СМИ: как новый закон повлияет на свободное распространение информации? И здесь пока тоже нет ответа. Традиционно право на приватность, включая защиту персональных данных, необходимо балансировать со свободой информации. GDPR и, в первую очередь, судебная практика и национальные законодательства стран ЕС не допускают использования ограничений в отношении медиа и распространения информации в общественных интересах. В беларусском законе такой подход отражен лишь частично.

Исключения предусмотрены только для журналистов в узком толковании, а свобода поиска, сбора и распространения информации теми же сотрудниками онлайн-ресурсов (не СМИ), блогерами, фрилансерами, активистами-расследователями и т.д. ставится под угрозу. С учетом того, что протоколы по административным делам о нарушении правил обработки персональных данных будут составлять органы внутренних дел, качество правоприменительной практики и ее направленность может очень сильно исказить смысл закона.

Новый закон для граждан

В свете мирных протестов после президентских выборов 2020 года, беларусские de-facto власти взяли курс на защиту персональных данных в тех случаях, когда речь идет о деанонимизации данных сотрудников правоохранительных органов или другой чувствительной информации. Изменения в Кодекс об административных правонарушениях фактически запрещают распространение и сбор персональных данных силовиков и госслужащих, а практика по уголовным делам идет по пути ужесточение наказания за нарушение права на частную жизнь. Применение норм о защиты персональных данных и охране права на частную жизнь применяется в дискриминационной манере – преимущественно к оппонентам действующей власти.

Сможет ли новый закон поменять ситуацию и создать систему защиты информации о частной жизни для всех, а не только для избранных? Будут ли ограничены многочисленные базы данных, которые ведутся силовыми структурами, электронная слежка в интернете, бесконтрольное автоматизированное распознавание лиц на улицах? Вопросы в ближайшей перспективе являются риторическими. Впрочем, положения закона с некоторыми исключениями распространяются также на деятельность силовиков, включая ограничение сроков, целей и объема собираемых личных данных граждан. В Молдове и Грузии в свое время уполномоченные органы начинали свою деятельность как раз с наведения порядка со сбором и использованием данных правоохранительными органами. Однако такие действия возможны лишь при учреждении независимого Уполномоченного органа, что предусмотрено законом, но неясно, будет ли реализовано на практике.

Что касается споров граждан и бизнеса, обрабатывающего личные данные, здесь перспектив больше. И хоть в законе нет некоторых прав, предусмотренных GDPR, таких как право на переносимость данных и на пересмотр решений, принятых с использованием алгоритмов, основной набор прав все же есть. Это как раз та политически-нейтральная тема, в которой Уполномоченный орган может при желании проявить свою принципиальность.

Что в итоге

В итоге мы имеем хорошую задумку и неплохой текст закона, который появился в самое неподходящее для этого время. В целом, его можно оценить положительно в качестве первого и достаточно осторожного опыта регулирования нового института. И все же при формировании института защиты персональных данных слишком многое будет зависеть от правоприменительной практики, принципиальности и независимости Уполномоченного органа и судов, вовлеченности граждан в отстаивание своих прав, а также ресурсов бизнеса, которые можно направить на выстраивание новых процессов.  Возможно, в некоторых аспектах закон будет отвечать целям, которые в него заложены, но ждать чудес в условиях экономического кризиса и правового дефолта не приходится.

ПОХОЖИЕ НОВОСТИ
Лаборатория цифровых свобод

10 важных моментов в законопроекте о персональных данных

В Беларуси представлен для обсуждения проект Закона «О персональных данных». Он должен помочь нам защитить свою приватность и одновременно создать для бизнеса и госорганов понятные правила работы с личной информацией.
Лаборатория цифровых свобод

Исследование: Независимость органа по защите персональных данных

Исследование проводилось в рамках экспертной программы Лаборатории цифровых свобод Human Constanta (Учреждение «Консультационный центр по актуальным международным практикам и их имплементации в праве «Хьюман Константа»).
Лаборатория цифровых свобод

Сбор персональных данных в школах

Нужно ли заполнять анкеты в школе и предоставлять персональные данные для неких баз данных? Мнение эксперта и рекомендации для родителей.
Лаборатория цифровых свобод

Что не так с публикацией персональных данных Виктора Бабарико?

Документы с персональными данными из дела Виктора Бабарико — очередной пример злоупотребления информацией ограниченного доступа. Что не так сделали государственные СМИ?
Лаборатория цифровых свобод

Как нейросеть считывает мимику для укрепления лояльности членов коммунистической партии Китая

Как далеко продвинулся Китай по использованию искусственного интеллекта для слежки за людьми.